ISO 27001 – Der internationale Standard für Informationssicherheit-Managementsysteme

ISO/IEC 27001:2017 Informationstechnik, IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme und Anforderungen - Ihre Daten verdienen Schutz!

Die Fakten

Unabhängig davon, wie klein ein Unternehmen heute auch sein mag, auf die Informationstechnik ist auch hier nicht mehr zu verzichten. Besonders kritische Unternehmensprozesse sind ohne IT gar nicht mehr denkbar. Natürlich steigen dadurch auch die Risiken z. B. von Datenverlust, Abhandenkommen vertraulicher Daten oder Schäden an wichtigen Systemen.

Der Hintergrund

Die ISO/IEC 27001:2013 ist die internationale Leit-Norm für Informationssicherheits-Managementsysteme; gültig für privatwirtschaftliche, öffentliche sowie gemeinnützige Unternehmen und definiert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS).
Im März 2015 wurde diese Norm als DIN ISO/IEC 27001:2015 veröffentlicht. Durch ihre High-Level-Struktur kann das Informationssicherheits-Managementsystem vollständig in ein bestehendes Managementsystem, z.B. nach DIN EN ISO 9001:2015, integriert werden.

Der Ansatz der Norm ist systematisch und strukturiert. Folgende Ziele sollen damit erreicht werden:

Erhöhung der Verfügbarkeit der eigenen IT-Systeme einschließlich der vorhandenen Daten und Informationen
Der Schutz der Integrität der vorhandenen Informationen
Die Sicherstellung die Vertraulichkeit der vorhandenen Daten und deren Schutz vor unbefugten Zugriff
Gewährleistung der Authentizität von Informationen.

Lassen Sie sich von unseren Referenzen überzeugen

Die Bedeutung für Ihr Unternehmen

Unternehmen jeder Größe und jeder Branche können mittels einer Zertifizierung durch TRB als einer akkreditierten Zertifizierungsstelle den Nachweis erbringen, dass sie ein prozess- und risikobasiertes Denken entwickelt haben und die sich daraus ergebenden Prozesse durch ständige Überprüfungsmaßnahmen auch kontinuierlich verbessern. Der Schutz vertraulicher Daten wird dadurch auch externen Anforderungen gerecht und die Einführung des IT-Managementsystems ist hierfür ein wirkungsvolles, vertrauensbildendes und nachweisbares Instrument.

Vorteile einer ISO 27001 Zertifizierung

Datensicherheit: Informationssicherheit wird gelebt!
Risikominimierung: Identifizierung und Kontrolle von IT-Risiken durch Risikomanagement
Haftungsrisiko: Reduzierung des Haftungsrisikos
Vertrauen: Aufbau von Vertrauen interessierter Personenkreise
Reputation/Image: Ihre Daten und die ihrer Geschäftspartner werden zertifiziert geschützt
Wettbewerb: Wettbewerbsvorteile durch einen international anerkannten Standard
Gesetze: Erfüllung gesetzlicher und vertraglicher Anforderungen
Sensibilisierung: Mitarbeiter sind geschult und sicher im Umgang mit allen vertraulichen Daten
Kostensenkung: Prozesse werden effizienter, Risiken minimiert und dadurch Kosten vermieden

Informationssicherheit für KRITIS (Kritische Infrastrukturen)

Das IT-Sicherheitsgesetz (IT-SiG) ist am 25. Juli 2015 in Kraft getreten. Das IT-SiG verpflichtet Betreiber Kritischer Infrastrukturen, die für die Erbringung ihrer wichtigen Dienste erforderliche Informationstechnik nach Stand der Technik angemessen abzusichern. Mindestens alle zwei Jahre muss dies überprüft und durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden.

Das ist der Stand der Dinge. Aber was sind KRITIS? Zu Betreibern Kritischer Infrastrukturen gehören Unternehmen aus den Branchen Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit und Ernährung sowie Medien und Kultur.

Sind Sie jedoch ein kleines oder mittleres Unternehmen (KMU), dann müssen Sie die Anforderungen des IT-SiG derzeit noch nicht zwingend erfüllen. Als Zulieferer bzw. Geschäftspartner für größere Unternehmen müssen Sie jedoch damit rechnen, dass Ihre Auftraggeber die Einhaltung gewisser Standards wie z.B. der ISO 27001 von Ihnen fordern.

Zertifizierung nach ISO/IEC 27001:2017

Zertifizierung nach ISO/IEC 27001:2017 inkl. zusätzlicher Anforderungen gemäß IT-Sicherheitskatalog (§ 11 Abs. 1a EnWG , ISO/IEC TR 27019)

Die Anforderungen an die immer komplexer werdenden Versorgungsnetze nehmen zu. Das konventionelle Stromnetz wird zum Smart Grid (intelligentes Stromnetz). Die Bundesnetzagentur (BNetzA) veröffentlichte daher nach § 11 Absatz 1a EnWG in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) am 12. August 2015 den IT-Sicherheitskatalog. Dieser Katalog ergänzt das IT-Sicherheitsgesetz (IT-SiG).

Jeder Netzbetreiber hat bis zum 31.01.2018 die Umsetzung des IT-Sicherheitskatalogs durch eine ISO 27001 Zertifizierung nachzuweisen.

Risikoanalyse der Netzbetreiber

Es gibt drei Schutzziele: Verfügbarkeit, Integrität und Vertraulichkeit
Es gibt drei Schadenskategorien: „kritisch“, „hoch“, „mäßig“
Komponenten, Systeme und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, müssen in die Schadenskategorie „hoch“ bis „kritisch“ eingestuft werden
Beachtung besonderer Schadensszenarien

Netzstrukturplan

Anwendungen, Systeme und Komponenten des Geltungsbereiches samt Verbindungen.
„Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“.

Der Bundesnetzagentur (BNetzA) muss ein Ansprechpartner gemeldet werden.

Das ISMS muss von einer für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz akkreditierten Zertifizierungsstelle auditiert und zertifiziert werden.

IT-Sicherheitskatalog

IT-Sicherheitskatalog gemäß §11 Abs. 1b EnWG für Betreiber von Energieanlagen

Neben dem oben erwähnten IT-Sicherheitskatalog für Netzbetreiber wird derzeit ein zweiter IT-Sicherheitskatalog vorbereitet – dieser gilt für Betreiber von Energieanlagen, die als Kritische Infrastruktur gemäß BSI-Gesetz eingestuft wurden.